Két hibát javítottunk a Flatpakban az új javítási frissítésekkel

sebezhetőség

Ha kihasználják, ezek a hibák lehetővé tehetik a támadók számára, hogy jogosulatlanul hozzáférjenek érzékeny információkhoz, vagy általában problémákat okozhatnak.

nemrég voltak javító frissítések megjelentek a szerszámkészletből Flatpak a különböző 1.14.4-es, 1.12.8-as, 1.10.8-as és 1.15.4-es verziókhoz, amelyek már elérhetőek, és amelyek két sebezhetőséget oldanak meg.

Azok számára, akik nem ismerik a Flatpakot, tudnia kell, hogy ez lehetővé teszi az alkalmazásfejlesztők számára, hogy egyszerűsítsék programjaik terjesztését amelyek nem szerepelnek a normál terjesztési tárolókban, és egy univerzális tárolót készítenek anélkül, hogy minden terjesztéshez külön buildeket hoznának létre.

Biztonságtudatos felhasználók számára Flatpak lehetővé teszi egy megkérdőjelezhető alkalmazás futtatását egy tárolóban, csak az alkalmazáshoz kapcsolódó hálózati funkciókhoz és felhasználói fájlokhoz biztosít hozzáférést. Az újdonságok iránt érdeklődő felhasználók számára a Flatpak lehetővé teszi az alkalmazások legújabb teszt- és stabil verzióinak telepítését anélkül, hogy módosítani kellene a rendszeren.

A Flatpak és a Snap közötti fő különbség az, hogy a Snap a fő rendszerkörnyezet-összetevőket és a rendszerhívás-szűrésen alapuló elkülönítést használja, míg a Flatpak külön rendszertárolót hoz létre, és nagy futásidejű csomagokkal működik, és jellemző csomagokat biztosít a csomagok helyett függőségekként.

A Flatpakban észlelt hibákról

Ezekben az új biztonsági frissítésekben két észlelt hibára adjuk meg a megoldást, amelyek közül az egyiket Ryan Gonzalez (CVE-2023-28101) fedezte fel, hogy a Flatpak alkalmazás rosszindulatú karbantartói ANSI terminálvezérlő kódokat vagy más nem nyomtatható karaktereket tartalmazó engedélyek kérésével manipulálhatják vagy elrejthetik ezt az engedélykijelzést.

Ezt javítottuk a Flatpak 1.14.4, 1.15.4, 1.12.8 és 1.10.8 verziókban a kihagyott, nem nyomtatható karakterek (\xXX, \uXXXX, \UXXXXXXXXXX) megjelenítésével, így azok nem változtatják meg a terminál viselkedését, és megpróbálták bizonyos környezetekben nem nyomtatható karakterek érvénytelenek (nem megengedettek).

Amikor egy Flatpak alkalmazást a flatpak CLI használatával telepít vagy frissít, a felhasználó általában megjeleníti az új alkalmazás speciális engedélyeit a metaadatai között, így valamennyire megalapozott döntést hozhat a telepítés engedélyezéséről.

Amikor felépül a Az alkalmazás jogosultságait megjeleníteni a felhasználó számára, a grafikus felület folytatódik felelős minden olyan karakter kiszűréséért vagy megszűréséért különleges jelentéssel bírnak a GUI-könyvtárai számára.

Részéről a sebezhetőségek leírásábólA következőket osztják meg velünk:

  • CVE-2023-28100: szöveg másolása és beillesztése a virtuális konzol beviteli pufferébe a TIOCLINUX ioctl manipulációval a támadó által készített Flatpak csomag telepítésekor. A sérülékenység például felhasználható tetszőleges konzolparancsok elindítására, miután egy harmadik féltől származó csomag telepítési folyamata befejeződött. A probléma csak a klasszikus virtuális konzolon (/dev/tty1, /dev/tty2 stb.) jelenik meg, és nem érinti az xterm, gnome-terminal, Konsole és más grafikus terminálok munkameneteit. A sérülékenység nem specifikus a flatpak-re, és más alkalmazások támadására is használható, például korábban találtak hasonló biztonsági réseket, amelyek lehetővé tették a karakterek helyettesítését a TIOCSTI ioctl felületén keresztül a /bin/ sandboxban és snapben.
  • CVE-2023 28101-– Lehetőség arra, hogy a csomag metaadatainak engedélylistájában escape szekvenciákat használjon a kért kiterjesztett engedélyekkel kapcsolatos információk elrejtéséhez, amelyek a csomag telepítése vagy a parancssori felületen keresztül történő frissítés során jelennek meg a terminálon. A támadók ezt a biztonsági rést arra használhatják, hogy becsapják a felhasználókat a csomagban használt engedélyekkel kapcsolatban. Megemlítjük, hogy a libflatpak grafikus felhasználói felületeit, mint például a GNOME Software és a KDE Plasma Discover, ez nem érinti közvetlenül.

Végül megemlítjük, hogy megoldásként használhat egy grafikus felhasználói felületet, például a GNOME Software Centert a parancssor helyett.
felületen, vagy az is javasolt, hogy csak olyan alkalmazásokat telepítsen, amelyek karbantartóiban megbízik.

Ha többet szeretne megtudni róla, forduljon a részletek a következő linken.


Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.